Pacchetto UE sovranità tech:
proposta in arrivo, trilogo all’orizzonte

La frase che ha fatto il lavoro è stata di Henna Virkkunen. Alla conferenza stampa a Bruxelles di martedì 3 giugno 2026, la Vicepresidente esecutiva per Sovranità Tech, Sicurezza e Democrazia ha detto ai giornalisti a cosa serve il Tech Sovereignty Package: «Vogliamo essere sicuri che nessuno abbia un kill switch.» Ursula von der Leyen ha avvolto la politica attorno: «Non possiamo permetterci di dipendere da altri per le tecnologie che mantengono i nostri ospedali in funzione, le nostre reti energetiche stabili e i nostri servizi sicuri.»

Gli strumenti dietro la frase erano quattro. Una proposta legislativa per il Cloud and AI Development Act (CADA) con un quadro di valutazione della sovranità e restrizioni sui fornitori extra-UE per dati governativi sensibili. Una proposta legislativa per il Chips Act 2.0 che eleva la quota target UE di produzione mondiale di chip. Una Strategia Open Source che formalizza l’open source come elemento strutturale della politica digitale UE. E una Roadmap Strategica per la Digitalizzazione e l’IA nell’Energia. Il Commissario Dan Jørgensen, responsabile dell’energia, si è unito a Virkkunen sul podio.

La Commissione ha ora fatto ciò che la Commissione può fare. Le decisioni consequenziali sono a valle di questo annuncio, non a monte.

Cosa propone effettivamente CADA

La componente cloud è la più sostanziale. CADA propone una valutazione della sovranità a quattro livelli in ordine crescente di separazione strutturale dal controllo extra-UE. Il livello più alto è, per la propria logica giuridica, non raggiungibile dai fornitori con sede negli Stati Uniti perché il CLOUD Act crea un conflitto strutturale.

CADA propone che i dati finanziari, giudiziari e sanitari dei governi e delle organizzazioni del settore pubblico siano tenuti a funzionare su infrastruttura al livello di sovranità più alto. Questa non è una raccomandazione. È un obbligo vincolante scritto nella proposta, con autorità nazionali designate per farlo rispettare.

La base giuridica è l’Articolo 114 TFUE — armonizzazione del mercato interno. Questo conta: l’Articolo 114 produce regolamento direttamente applicabile con effetto sul mercato interno, non direttiva che gli Stati membri recepiscono. Se CADA passa, gli Stati membri non sono liberi di indebolirne l’applicazione individualmente.

Cosa il pacchetto fa bene

Il pacchetto scrive una prova di sovranità non superabile dagli Stati Uniti in regolamento vincolante. I precedenti strumenti europei di sovranità erano privi di denti (etichettatura Gaia-X), aspirazionali (schema di cybersicurezza ENISA) o specifici per settore. CADA propone una misura regolatoria orizzontale che esplicitamente non può essere soddisfatta dai fornitori statunitensi senza ristrutturazione architettonica. Questo è strutturalmente diverso.

Abbina la restrizione di sovranità a costruzione di capacità. Virkkunen, interrogata dai giornalisti se il pacchetto riguardasse l’esclusione dei fornitori statunitensi, è stata specifica: «L’Europa vuole essere nella posizione di fare le proprie scelte, evitando dipendenze rischiose da singoli fornitori dominanti, una sola azienda o un solo paese terzo.» Chips Act 2.0 e la Strategia Open Source forniscono la risposta lato offerta alla restrizione. Una pura restrizione senza capacità alternativa è impraticabile; la Commissione lo ha evitato.

Tratta l’open source come infrastruttura piuttosto che come teatro di politica. La Strategia Open Source, che si fonda sulla Call for Evidence di gennaio-febbraio 2026, inquadra l’OSS come elemento strutturale di lungo termine piuttosto che come questione per hobbisti. Quel linguaggio non era nelle precedenti comunicazioni della Commissione. Apre spazio per strumenti di approvvigionamento e finanziamento allineati all’infrastruttura OSS.

Cosa il pacchetto non affronta

CADA affronta l’infrastruttura cloud e certe categorie di dati governativi. Non affronta, nella proposta attuale, gli strati sotto il cloud.

Infrastruttura di hosting del codice: le soluzioni di sovranità UE sono prevalentemente ospitate su GitHub, di proprietà Microsoft. Questo è il divario di sovranità più profondo e il meno affrontato. Catene di fiducia crittografica: le autorità di certificazione e le operazioni dei server radice DNS restano dominate dagli Stati Uniti. I livelli di sovranità di CADA non enumerano esplicitamente i criteri della catena di fiducia. Pipeline CI/CD: GitHub Actions, npm, PyPI, Docker Hub — l’infrastruttura di build, packaging e distribuzione su cui tutto dipende rimane prevalentemente ospitata negli Stati Uniti.

Questa non è una critica all’ambito redatto del CADA. È un’osservazione che CADA non, da solo, consegna sovranità ai livelli sotto l’infrastruttura cloud. Un lettore che celebra CADA come il completamento del progetto di sovranità europea leggerà qualcosa che la proposta non rivendica — e che Virkkunen stessa non ha rivendicato a Bruxelles.

Il trilogo, e chi si sta posizionando per esso

Il passaggio sul cui bono è semplice. I fornitori cloud sovrani UE beneficiano in senso lato — OVHcloud, IONOS, Schwarz Digits/StackIT, Outscale, la divisione sovrana di Atos. Queste aziende hanno passato anni a fare lobby per esattamente questo quadro regolatorio. Mistral, Aleph Alpha e il cluster europeo di infrastruttura IA beneficiano dalla logica di adozione obbligatoria in stile KIPITZ scalata a livello UE. La Commissione, istituzionalmente, espande competenza: il regolamento ai sensi dell’Articolo 114 produce effetto diretto piuttosto che recepimento nazionale. La politica industriale francese e tedesca beneficia perché entrambe hanno forti cluster di fornitori che si allineano con i criteri CADA. I cluster italiani, spagnoli ed est-europei hanno meno base industriale per catturare l’opportunità di approvvigionamento.

Tre obiezioni serie stanno circolando, nessuna delle quali la Commissione può risolvere da sola.

La prima è che l’Articolo 114 sia la base giuridica sbagliata. L’armonizzazione del mercato interno è contestabile come base per restrizioni che sono principalmente geopolitiche piuttosto che funzionali al mercato. La Corte di giustizia europea è stata storicamente protettiva della logica di integrazione del mercato dell’Articolo 114. Una contestazione davanti alla CGUE potrebbe restringere l’ambito vincolante del regolamento dopo l’adozione.

La seconda è che il trilogo diluirà il livello di sovranità più alto. La rappresentanza del Consiglio include Stati membri con posizioni di investimento più profonde nell’industria tech statunitense — Irlanda, Lussemburgo, Paesi Bassi. Il trilogo tipicamente ammorbidisce le proposte della Commissione ai margini. Il livello più alto non superabile dagli Stati Uniti è esattamente il tipo di disposizione che viene ammorbidita.

La terza è che l’industria aggirerà le restrizioni tramite filiali europee. Un hyperscaler statunitense può costituire una filiale europea, strutturare governance e custodia delle chiavi domesticamente, e richiedere il livello di sovranità più alto. Se una tale struttura supera la prova sostanziale dipende da quanto strettamente l’autorità di valutazione interpreta «controllo». La proposta di Microsoft Sovereign Cloud esistente è essenzialmente una scommessa sul fatto che questo aggiramento sia possibile.

Cosa non è questo articolo

Non è un’affermazione secondo cui CADA passerà come redatto. Il trilogo modificherà la proposta; la domanda è quanto.

Non è un’affermazione secondo cui la Strategia Open Source sia vuota. Inquadra strutturalmente l’OSS. Se produca finanziamento è una domanda separata, decisa nel prossimo ciclo del Multiannual Financial Framework piuttosto che a giugno 2026.

Non è un’affermazione secondo cui la sovranità europea sia risolta dal pacchetto. Il pacchetto affronta uno strato di dipendenza, ne lascia altri intoccati e dipende da un processo legislativo che corre nel 2027 o 2028.

Cosa osservare per primo

Il primo segnale è la prima lettura del Consiglio. Gli Stati membri con posizioni nell’industria tech allineate agli USA indicheranno, attraverso il loro approccio generale, quanto intendono battersi sul livello di sovranità più alto.

Il secondo è la nomina del relatore del Parlamento europeo — quale commissione, quale gruppo politico. ITRE, IMCO, LIBE produrranno ciascuna versioni diverse di CADA, e la scelta della competenza di commissione plasmerà l’enfasi della proposta su politica industriale, mercato interno o diritti fondamentali rispettivamente.

Il terzo è se i finanziamenti per l’attuazione delle componenti della Strategia Open Source si materializzino nel prossimo ciclo di bilancio UE. Senza budget, l’OSS-come-infrastruttura resta retorica, indipendentemente da quanto persuasiva sia stata la cornice di Virkkunen alla conferenza stampa.

La Commissione ha fissato i termini politici e giuridici. I prossimi due anni di negoziato inter-istituzionale determineranno se i termini reggono.

Fonti

• European Commission: Strengthening Europe’s tech sovereignty (3 June 2026)
• European Commission press release IP/26/1187: Tech sovereignty package proposed
• European Commission speech SPEECH/26/1244: Remarks by Virkkunen and Jørgensen
• European Commission: Cloud and AI Development Act policy page
• CNBC: Europe unveils tech sovereignty package — ‘we want to be sure nobody has a kill switch’ (3 June 2026)
• TechPolicy.Press: EU unveils sweeping tech sovereignty push
• Wilson Sonsini: Commission proposal to reduce reliance on foreign cloud and AI
• EUR-Lex: TFEU Article 114 (internal market harmonisation)

Panoramica del tema: Sovranità Digitale in Europa Articoli correlati: Microsoft consegna nomi olandesi, Sovranità nel §58 VgV